SSH estranho, segurança do servidor, eu poderia ter sido hackeado

29

Não tenho certeza se fui hackeado ou não.

Eu tentei fazer o login através do SSH e ele não aceitaria minha senha. O login da raiz está desabilitado, então fui resgatar e ativar o login root e consegui fazer o login como root. Como root, tentei alterar a senha da conta afetada com a mesma senha com a qual tentei efetuar login antes, passwd respondeu com "senha inalterada". Em seguida, mudei a senha para outra coisa e consegui fazer o login, depois mudei a senha de volta para a senha original e consegui novamente fazer o login.

Eu verifiquei auth.log para alterações de senha, mas não encontrei nada útil.

Também verifiquei vírus e rootkits e o servidor retornou isso:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Deve-se notar que o meu servidor não é amplamente conhecido. Também alterei a porta SSH e ativei a verificação em duas etapas.

Eu estou com medo de ter sido hackeado e alguém está tentando me enganar, "está tudo bem, não se preocupe com isso".

    
por PhysiOS 27.01.2017 / 02:39

4 respostas

29

Como J Rock, acho que isso é um falso positivo. Eu tive a mesma experiência.

Recebi um alarme de seis servidores diferentes, distintos e separados geograficamente em um curto período de tempo. 4 desses servidores só existiam em uma rede privada. A única coisa que eles tinham em comum era uma recente atualização do daily.cld.

Então, depois de checar algumas das heurísticas típicas deste trojan sem sucesso, eu inicializei uma caixa errante com minha linha base limpa conhecida e corri freshclam. Isso pegou

"daily.cld is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)"

Um clamav /bin/busybox subsequente retornou o mesmo alerta "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" nos servidores originais.

Por fim, também fiz uma caixa vagrant da caixa oficial do Ubuntu e também tenho o mesmo "/ bin / busybox Unix.Trojan.Mirai-5607459-1 ENCONTRADO" (Nota, eu tive que até a memória nesta caixa vagabundo de seus 512MB padrão ou clamscan falhou com "morto")

Saída completa da nova caixa do Ubuntu 14.04.5 vagrant.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Então, eu também acredito que isso seja um falso positivo.

Eu vou dizer que rkhunter não me deu a referência: "/ usr / bin / lwp-request Warning", então talvez o PhysiOS Quantum esteja tendo mais de um problema.

EDIT: só notei que eu nunca disse explicitamente que todos esses servidores são o Ubuntu 14.04. Outras versões podem variar?

    
por 27.01.2017 / 04:32
44

A assinatura ClamAV para Unix.Trojan.Mirai-5607459-1 é definitivamente muito ampla, então é provável que seja um falso positivo, como observado por J Rock e cayleaf.

Por exemplo, qualquer arquivo que tenha todas as propriedades a seguir corresponderá à assinatura:

  • é um arquivo ELF;
  • contém a string "watchdog" exatamente duas vezes;
  • contém a string "/ proc / self" pelo menos uma vez;
  • contém a string "busybox" pelo menos uma vez.

(A assinatura inteira é um pouco mais complicada, mas as condições acima são suficientes para uma correspondência.)

Por exemplo, você pode criar um arquivo com:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Qualquer compilação do busybox (no Linux) geralmente corresponderá às quatro propriedades listadas acima. É obviamente um arquivo ELF e definitivamente conterá a string "busybox" muitas vezes. Ele executa "/ proc / self / exe" para executar certos applets. Finalmente, "watchdog" ocorre duas vezes: uma vez como um nome de applet e uma vez dentro da string "/var/run/watchdog.pid".

    
por 27.01.2017 / 05:27
5

Isso só apareceu hoje para mim também em meu scan do ClamAV para / bin / busybox. Eu estou querendo saber se o banco de dados atualizado tem um erro.

    
por 27.01.2017 / 03:38
3

I tried to log in through SSH and it wouldn't accept my password. Root login is disabled so I went to rescue and turned root login on and was able to log in as root. As root, I tried to change the password of the affected account with the same password with which I had tried to log in before, passwd replied with "password unchanged". I then changed the password to something else and was able to log in, then changed the password back to the original password and I was again able to log in.

Isso soa como senha expirada. Definir a senha (com êxito) por raiz redefine o relógio de expiração da senha. Você poderia verificar / var / log / secure (ou qualquer que seja o equivalente do Ubuntu) e descobrir por que sua senha foi rejeitada.

    
por 30.01.2017 / 20:31